Regel für Verlaufsdaten ausführen
Wenn Sie eine neue Regel erstellen und aktivieren, beginnt die Regel mit der Suche nach Erkennungen basierend auf den Ereignissen, die von Ihrem Google Security Operations-Konto in Echtzeit empfangen werden. Mit einem RetroHunt können Sie die ausgewählte Regel verwenden, um in vorhandenen Daten in Google Security Operations nach Erkennungen zu suchen. RetroHunts werden geplant, wenn Ressourcen zum Ausführen verfügbar sind. Rechnen Sie mit Abweichungen bei den RetroHunt-Laufzeiten.
Führen Sie die folgenden Schritte aus, um eine RetroHunt-Sitzung zu starten:
Rufen Sie das Regeldashboard auf.
Klicken Sie auf das Optionssymbol für Regeln für eine Regel und wählen Sie Yara-L RetroHunt aus.
YARA-L RetroHunt-OptionWählen Sie im Popup-Fenster YARA-L RetroHunt die Start- und Endzeit für Ihre Suche aus. Der Standardwert ist eine Woche. Im Fenster sehen Sie den verfügbaren Datums- und Zeitraum. Klicken Sie abschließend auf Ausführen.
Pop-up-Fenster von Yara-L RetroHunt
Sie können den Fortschritt der RetroHunt-Ausführung in der Ansicht „Regelerkennung“ für die Regel sehen. Wenn Sie eine laufende RetroHunt-Sitzung abbrechen, können Sie weiterhin alle Erkennungen sehen, die während der Ausführung durchgeführt wurden.
Wenn Sie mehrere RetroHunts durchgeführt haben, können Sie die Ergebnisse vergangener RetroHunt-Ausführungen anzeigen, indem Sie auf den Zeitraum-Link klicken, wie in der folgenden Abbildung dargestellt. Die Ergebnisse der einzelnen Ausführungen werden in der Ansicht „Regelerkennung“ im Zeitachsen- und Erkennungsdiagramm angezeigt.
RetroHunt-Runden von Yara-L
Wenn Sie eine Referenzliste in einer Regel verwenden, eine Retrohunt durchführen und dann Elemente aus dieser Liste entfernen, müssen Sie diese Regel auf eine neue Version überarbeiten, um die neuen Ergebnisse zu sehen. Google Security Operations löscht Erkennungen nicht aus Referenzlisten. Daher werden die Ergebnisse durch das Aktualisieren der Regel nicht aktualisiert.